Cookies im Internet und das TDDDG
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) schafft eine einheitliche Grundlage für den Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und digitalen Diensten.
Allgemein
Das TDDDG ist am 14. Mai 2024 aus dem bisherigen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) hervorgegangen und regelt im Zusammenspiel mit der DSGVO den Datenschutz sowie den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.
Anwendung findet das TDDDG auf „alle Unternehmen und Personen, die im Geltungsbereich des Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“.
Das Gesetz gilt sowohl für die klassischen Kommunikationsdienste (Telefon, SMS) als auch für internetbasierte Kommunikationsdienste (E-Mail, Voice-over-IP-Telefonie, Videokonferenzen, Messenger-Dienste). Unter „digitale Dienste“ fallen beispielsweise Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit sowie einfache Webseiten mit Informationen über ein Unternehmen. Speziell wird versucht, die im Internet herrschende Cookie-Flut einzudämmen und den Nutzern von Webseiten mehr Kontrolle über die von ihnen dort erhobenen Daten zu geben.
Die Nutzereinwilligung im Cookie-Dschungel
Die Anforderungen an Cookies werden in §25 TDDDG normiert. Bei „Cookies“ handelt es sich um Textdateien, die beim Aufruf einer Internetseite auf dem jeweiligen Endgerät eines Nutzers gespeichert und zu einem späteren Zeitpunkt wieder abgerufen werden können, um z.B. Nutzerpräferenzen (wie Sprach- oder Log-in-Informationen) zu speichern.
Bei sogenannten „Werbe-, Tracking- oder Marketing-Cookies“ muss immer eine aktive Einwilligung durch den Nutzer erfolgen. Dies erfolgt üblicherweise mittels sog. Cookie- oder Consent-Banner, wobei ein Banner, in dem Tracking- und Drittanbieter-Cookies bereits vorausgewählt sind, nicht genügt, um eine wirksame Einwilligung einzuholen. Zudem muss in der Datenschutzerklärung über die Verwendung und Funktionsweise eingesetzter Cookies informiert werden.
Bei technisch notwendigen (sog. „funktionalen oder essenziellen“) Cookies, die den Betrieb der Internetseite sicherstellen, ist hingegen keine Einwilligung erforderlich. Gleiches gilt bei der Speicherung von Cookies zu dem Zweck, dem Nutzer eine Nachricht zu übermitteln oder eine gewünschte Dienstleistung zur Verfügung stellen zu können (§25 Abs. 2 TDDDG; z.B. Cookies, die für die Erstellung eines Warenkorbs im Online-Handel unerlässlich sind). In diesen Fällen bedarf es keiner Einwilligung mittels Cookie-Banners, sondern es genügt ein Hinweis in der Datenschutzerklärung.
In Bezug auf die Gestaltung von Cookie-Bannern definiert das TDDDG selbst keine Mindestanforderungen inhaltlicher oder visueller Natur. Nach §25 Abs. 1 TDDDG muss der Endnutzer auf der Grundlage von klaren und umfassenden Informationen einwilligen, im Übrigen wird auf die Erfüllung der Anforderungen nach der DSGVO verwiesen. Gemäß Artikel 4 Nr. 11 DSGVO ist eine Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Artikel 7 DSGVO stellt weitere Bedingungen für eine wirksame Einwilligung auf.
So muss die Aufforderung zur Einwilligung in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGBs oder in der Datenschutzerklärung versteckt werden. Der Nutzer muss vor dem Setzen der Cookies auf der besuchten Webseite über die Art und Zwecke der Datenverarbeitung sowie sein Widerrufsrecht informiert werden und in Form einer „eindeutig bestätigenden Handlung“ aktiv einwilligen (Opt-In). Stillschweigen, Inaktivität oder vorangekreuzte Kästchen genügen somit nicht.
Zudem muss die Einwilligung freiwillig erfolgen, d.h. ohne Druck oder Zwang mit echter Wahlfreiheit ausgeübt werden. Nutzer sollten nicht durch sog. Nudging-Maßnahmen zur Einwilligung gedrängt werden, indem z.B. die „Zustimmen"-Option im Consent-Fenster im Vergleich zur „Ablehnen"-Option farblich auffälliger ist oder der Prozess des Ablehnens durch längere Klickwege unnötig verkompliziert wird. Auch eine Koppelung der Erbringung einer vertraglichen Dienstleistung an die Abgabe einer datenschutzrechtlichen Einwilligung führt regelmäßig dazu, dass die Einwilligung unwirksam ist.
Dienste zur Einwilligungsverwaltung
Ebenfalls im TDDDG geregelt sind „Dienste zur Einwilligungsverwaltung“, die sog. „PIMS“ (Personal Information Management Systems). Ziel der PIMS ist es, dass Nutzer nicht mehr mit einer Vielzahl von Cookie-Bannern konfrontiert werden, sondern über Voreinstellungen für Cookies auf ihrem Endgerät, welche beim Besuch einer Website übermittelt werden und in einigen Fällen das Erfordernis einer weiteren Einwilligungserklärung auf der aufgerufenen Website obsolet machen, entlastet werden. Die Erstellung und das Management der PIMS sind an enge Vorgaben gebunden.
So darf der Dienst keinen finanziellen Nutzen aus der Aufbewahrung der Daten ziehen und muss von Unternehmen, die finanzielle Interessen an solchen Daten haben, unabhängig sein (§26 TDDDG). Er fungiert quasi als „Datentreuhänder“ und muss nach der Einwilligungsverwaltungsverordnung (EinwV) eine Anerkennung als PIMS haben. Zuständig dafür ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Was für eine Auswirkung die PIMS in der Unternehmenspraxis haben werden und welche eventuellen rechtlichen Fragestellungen sich daraus ergeben, wird sich zukünftig zeigen. Bisher sind keine anerkannten Dienste bekannt, die die in der Verordnung festgelegten Anforderungen erfüllen. Es ist auch noch nicht klar, wer Anbieter dieser Dienste sein soll.
Aufsicht
Die Aufsicht im Bereich der Telekommunikation einschließlich der Verhängung von Bußgeldern und der Anerkennung von Einwilligungsverwaltungsdiensten erfolgt durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit als unabhängige Datenschutzaufsichtsbehörde (§ 29 TDDDG). Die Bundesnetzagentur ist für die Vorschriften des TDDDG zuständig, die nicht die Verarbeitung personenbezogener Daten betreffen (§ 30 TDDDG).